ISO/IEC 20000-2011
การบริหารการบริการด้าน IT (IT Service Management)
(ตอนจบ)

กิตติพงศ์ จิรวัสวงศ์
kitroj@yahoo.com

3. กระบวนการส่งมอบการบริการ (Service Delivery Processes) 

     ในกลุ่มของกระบวนการส่งมอบการบริการ จะประกอบด้วยกระบวนการต่าง ๆ ได้แก่ การจัดการระดับการให้บริการ (Service Level Management) การจัดทำรายงานการบริการ (Service Reporting) การบริหารความต่อเนื่องและความพร้อมในการบริการ (Service Continuity and Availability Management) การจัดทำงบประมาณ และงานบัญชีสำหรับการบริการ (Budgeting and Accounting for Services) การบริหารขีดความสามารถ (Capacity Management) การบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management)

     3.1 การจัดการระดับการให้บริการ (Service Level Management)

     ในแต่ละบริการที่ส่งมอบ จะต้องมีการจัดทำข้อตกลงระดับการบริการ (SLA) กับลูกค้า ซึ่งการจัดทำ SLA ผู้ให้บริการจะต้องคำนึงถึงข้อกำหนดการบริการ โดย SLA จะต้องระบุถึงเป้าหมายการบริการที่ตกลงกันไว้ คุณลักษณะของภาระงาน และข้อยกเว้น ทั้งนี้ ผู้ให้บริการจะต้องมีการทบทวนการบริการ และ SLA กับลูกค้าตามช่วงเวลาที่ได้วางแผนไว้ด้วย 

     นอกจากนั้น การเปลี่ยนแปลงของเอกสารข้อกำหนดของการบริการ รายละเอียดของการบริการ (Catalogue) ข้อตกลงระดับการบริการ (SLA) และเอกสารข้อตกลงอื่น ๆ จะต้องได้รับการควบคุมด้วยกระบวนการจัดการการเปลี่ยนแปลง (Change Management Process) ทั้งนี้ รายละเอียดของการบริการ จะต้องได้รับการดูแลตามการเปลี่ยนแปลงของการบริการ และ SLA เพื่อให้มั่นใจได้ถึงความสอดคล้องไปในทางเดียวกัน 

     ผู้ให้บริการจะต้องมีการเฝ้าติดตามแนวโน้ม และผลการดำเนินงานเทียบกับเป้าหมายการบริการตามช่วงเวลาที่ได้กำหนดไว้ โดยผลลัพธ์ที่ได้จะต้องได้รับการบันทึก และทบทวน เพื่อระบุถึงสาเหตุของความไม่สอดคล้องตามข้อกำหนด และโอกาสสำหรับการปรับปรุงต่อไป

     สำหรับองค์ประกอบของการบริการ (Component) ที่จัดเตรียมโดยกลุ่มภายในองค์กร หรือโดยลูกค้า ผู้ให้บริการจะต้องมีการจัดทำ ตกลง ทบทวน และดูแลเอกสารข้อตกลง เพื่อกำหนดถึงกิจกรรมและปฏิสัมพันธ์ระหว่างหน่วยงาน โดยผู้ให้บริการจะต้องมีการเฝ้าติดตามผลการดำเนินการของกลุ่มภายในองค์กร หรือลูกค้า เทียบกับเป้าหมายการบริการที่ได้ตกลงไว้ และข้อผูกพันอื่น ๆ ตามช่วงเวลาที่ได้วางแผนไว้ และผลลัพธ์ที่ได้จากการติดตาม จะต้องมีการบันทึก และทบทวน เพื่อระบุถึงสาเหตุของความไม่สอดคล้องตามข้อกำหนด และโอกาสสำหรับการปรับปรุงต่อไป

     3.2 การจัดทำรายงานการบริการ (Service Reporting)
     ผู้ให้บริการจะต้องมีการจัดทำคำอธิบายของรายงานการบริการแต่ละรายการ รวมถึงการชี้บ่ง จุดประสงค์ ผู้รับรายงาน ความถี่ และรายละเอียดของแหล่งข้อมูล ไว้เป็นเอกสารที่ชัดเจน โดยรายงานการให้บริการจะถูกจัดทำขึ้นจากข้อมูลสารสนเทศที่ได้จากการส่งมอบการบริการ และจากกิจกรรมในระบบการบริหารการบริการ รวมถึงกระบวนการต่างๆ ทั้งนี้ รายงานการบริการ จะต้องประกอบด้วย

1. ผลการดำเนินการเทียบกับเป้าหมายการบริการ

2. ข้อมูลเกี่ยวกับเหตุการณ์ที่สำคัญ รวมถึง Incidents ที่สำคัญ การถ่ายทอดการบริการใหม่หรือที่มีการเปลี่ยนแปลง และแผนความต่อเนื่องของการบริการที่นำมาใช้

3. คุณลักษณะของภาระงาน (Workload Characteristics) รวมถึงปริมาณ และการเปลี่ยนแปลงในภาระงาน (Workload)

4. ความไม่สอดคล้องตามข้อกำหนดที่ตรวจพบเทียบกับข้อกำหนดในมาตรฐาน ISO/IEC 20000 ข้อกำหนดของระบบบริหารการบริการ (SMS) หรือข้อกำหนดการบริการ รวมถึงสาเหตุของความไม่สอดคล้องที่เกิดขึ้น

5. ข้อมูลแนวโน้มที่เกิดขึ้น

6. การวัดความพึงพอใจของลูกค้า ข้อร้องเรียนของการบริการ และผลลัพธ์ของการวิเคราะห์ความพึงพอใจและข้อร้องเรียน

     ผู้ให้บริการจะต้องตัดสินใจ และดำเนินการจากสิ่งที่พบในรายงานการบริการ โดยจะต้องมีการสื่อสารไปยังหน่วยงานต่าง ๆ ที่เกี่ยวข้องให้ทราบถึงสิ่งที่ดำเนินการด้วย

     3.3 การบริหารความต่อเนื่องและความพร้อมในการบริการ (Service Continuity and Availability Management)

     ผู้ให้บริการจะต้องมีการประเมิน และจัดทำเป็นเอกสารที่แสดงถึงความเสี่ยงที่มีต่อความต่อเนื่องและความพร้อมในการบริการ โดยจะต้องระบุและตกลงกับลูกค้า รวมถึงหน่วยงานต่าง ๆ ที่เกี่ยวข้องเกี่ยวกับข้อกำหนดของความต่อเนื่องและความพร้อมในการบริการ โดยจะต้องคำนึงถึงแผนธุรกิจ ข้อกำหนดการบริการ ข้อตกลงระดับการบริการ และความเสี่ยงของผู้ให้บริการด้วย

 ทั้งนี้ ข้อกำหนดความต่อเนื่องและความพร้อมในการบริการที่ตกลงแล้ว จะประกอบด้วย สิทธิในการเข้าถึงการบริการ เวลาในการตอบสนองการบริการ (Service Response Time) และความพร้อมในการบริการตั้งแต่เริ่มต้นจนเสร็จสิ้น (End to End Availability)

- การวางแผน
     ผู้ให้บริการ จะต้องมีการจัดทำ การนำไปใช้งาน และการดูแลรักษาแผนความต่อเนื่องของการบริการ (Service Continuity Plan) และแผนความพร้อมให้บริการ (Availability Plan) ซึ่งการเปลี่ยนแปลงใด ๆ ที่เกิดขึ้นกับแผนเหล่านี้ จะต้องได้รับการควบคุมผ่านกระบวนการบริหารการเปลี่ยนแปลง (Change Management Process) ด้วย

     แผนความต่อเนื่องในการบริการ จะประกอบด้วย
1. ขั้นตอนการปฏิบัติงานในการดำเนินการเมื่อเกิดเหตุการณ์ความสูญเสียที่สำคัญของการบริการ
2. เป้าหมายของความพร้อมใช้ เมื่อเริ่มดำเนินการตามแผน
3. ข้อกำหนดของการฟื้นฟู (Recovery)
4. แนวทางในการดำเนินการเพื่อกลับสู่สภาพการทำงานปกติ

     ทั้งนี้ ผู้ให้บริการจะต้องดูแลให้แผนความต่อเนื่องในการบริการ รายชื่อการติดต่อ และ CMDB จะต้องสามารถเข้าถึงได้ง่ายและสะดวก ในกรณีที่มีการป้องกันการเข้าถึงสถานที่ให้บริการปกติ ส่วนแผนความพร้อมในการให้บริการ (Availability Plan) จะต้องครอบคลุมถึงข้อกำหนดความพร้อมให้บริการ และเป้าหมายด้วย

     นอกจากนั้น ผู้ให้บริการจะต้องประเมินถึงผลกระทบของการร้องขอเพื่อการเปลี่ยนแปลงเกี่ยวกับแผนความต่อเนื่องในการบริการ และแผนความพร้อมในการบริการ

- การเฝ้าติดตามและการทดสอบ
     ผู้ให้บริการจะต้องมีการเฝ้าติดตามถึงความพร้อมในการบริการของผู้ให้บริการ โดยจะต้องมีการบันทึกผลลัพธ์ที่ได้ และนำมาเปรียบเทียบกับเป้าหมายที่ได้ตกลงไว้ ทั้งนี้ ความไม่พร้อมใช้งานที่ไม่ได้มีการวางแผนไว้ จะต้องได้รับการวินิจฉัยและดำเนินการตามความจำเป็น

    แผนความต่อเนื่องการบริการจะต้องได้รับการทดสอบเทียบกับข้อกำหนดความต่อเนื่องของการบริการ รวมถึงแผนความพร้อมใช้งานก็จะต้องได้รับการทดสอบเทียบกับข้อกำหนดของความพร้อมใช้งานเช่นเดียวกัน นอกจากนั้น ทั้งแผนความต่อเนื่องและความพร้อมในการบริการ จะต้องได้รับการทดสอบซ้ำภายหลังจากมีการเปลี่ยนแปลงที่สำคัญของสภาพแวดล้อมของการบริการที่ผู้ให้บริการดำเนินการอยู่

    ทั้งนี้ จะต้องมีการบันทึกผลลัพธ์ของการทดสอบ และนำมาทบทวน หากพบความไม่มีประสิทธิภาพ ผู้ให้บริการจะต้องมีการดำเนินการ และรายงานสิ่งที่ได้ดำเนินการให้หน่วยงานที่เกี่ยวข้องได้รับทราบด้วย

     3.4 การจัดทำงบประมาณ และงานบัญชีสำหรับการบริการ (Budgeting and Accounting for Services) 

     ผู้ให้บริการจะต้องมีการกำหนดถึงปฏิสัมพันธ์ระหว่างการจัดทำงบประมาณ และงานบัญชีสำหรับกระบวนการบริการ กับกระบวนการบริหารการเงินอื่น ๆ ทั้งนี้จะต้องมีการจัดทำนโยบาย และเอกสารขั้นตอนการปฏิบัติงานสำหรับ
1. งบประมาณ และงานบัญชีสำหรับองค์ประกอบของการบริการ ประกอบด้วย 

 - ทรัพย์สิน รวมถึงใบอนุญาต (Licenses) ที่นำมาใช้ในการให้บริการ 
- ทรัพยากรที่ใช้ร่วมกัน 
- โสหุ้ย (Overheads)
- ค่าใช้จ่ายการลงทุนและการปฏิบัติการ (Capital and Operating Expenses)
- การบริการจากภายนอก (Externally Supplied Services)
- บุคลากร 
- สิ่งอำนวยความสะดวก

2. การจัดสรรต้นทุนทางอ้อม และต้นทุนทางตรงของการบริการ เพื่อให้เกิดต้นทุนโดยรวมของการบริการแต่ละรายการ

3. การควบคุมและการอนุมัติทางการเงินอย่างมีประสิทธิผล

     ทั้งนี้ ต้นทุนต่าง ๆ จะต้องได้รับการจัดทำงบประมาณ เพื่อให้มั่นใจได้ถึงการควบคุมทางการเงินและการตัดสินใจอย่างมีประสิทธิผลสำหรับการบริการที่เกิดขึ้น โดยผู้ให้บริการจะต้องมีการเฝ้าติดตามและรายงานต้นทุนที่เกิดขึ้นเทียบกับงบประมาณ รวมถึงมีการทบทวนการพยากรณ์ทางการเงิน และการจัดการต้นทุนด้วย 

    นอกจากนั้น จะต้องมีการจัดเตรียมข้อมูลสารสนเทศสำหรับกระบวนการบริหารการเปลี่ยนแปลง เพื่อสนับสนุนต่อการจัดทำต้นทุนของการร้องขอเพื่อการเปลี่ยนแปลง

3.5 การบริหารขีดความสามารถ (Capacity Management)

 ผู้ให้บริการจะต้องระบุ และตกลงกับลูกค้าและหน่วยงานต่าง ๆ ที่เกี่ยวข้องเกี่ยวกับข้อกำหนดของขีดความสามารถและสมรรถนะในการบริการ โดยจะต้องมีการสร้าง การนำไปใช้ และการดูแลรักษาแผนขีดความสามารถ ที่คำนึงถึงทรัพยากรบุคคล เทคนิค สารสนเทศ และการเงินด้วย ทั้งนี้ การเปลี่ยนแปลงในแผนขีดความสามารถจะต้องได้รับการควบคุมโดยกระบวนการบริหารการเปลี่ยนแปลง

     แผนขีดความสามารถ (Capacity Plan) จะต้องประกอบด้วย

1. ความต้องการในการบริการทั้งในปัจจุบันและที่คาดการณ์ไว้

2. ผลกระทบที่คาดว่าจะเกิดขึ้นของข้อกำหนดที่ตกลงไว้เกี่ยวกับความพร้อมใช้งาน ความต่อเนื่องในการบริการ และระดับของการบริการ

3. กรอบเวลา และต้นทุนสำหรับการปรับปรุงขีดความสามารถในการบริการ

4. ผลกระทบที่อาจจะเกิดขึ้นจากการเปลี่ยนแปลงของข้อกฎหมาย ระเบียบข้อบังคับ ข้อตกลงในสัญญา หรือการเปลี่ยนแปลงองค์กร

5. ผลกระทบที่อาจจะเกิดขึ้นจากเทคโนโลยีและเทคนิคใหม่ ๆ ที่เกี่ยวข้อง

6. ขั้นตอนการปฏิบัติงานในการวิเคราะห์เชิงพยากรณ์ (Predictive Analysis) หรือการอ้างอิงถึงขั้นตอนการปฏิบัติงานดังกล่าว 

     ผู้ให้บริการ จะต้องมีการเฝ้าติดตามการใช้ขีดความสามารถ การวิเคราะห์ข้อมูลขีดความสามารถและการปรับแต่งสมรรถนะของการบริการ โดยจะต้องจัดให้มีขีดความสามารถอย่างเพียงพอ เพื่อตอบสนองต่อข้อกำหนดด้านขีดความสามารถและสมรรถนะตามที่ได้ตกลงไว้

     3.6 การบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management) นโยบาย 

     ผู้บริหารจะต้องมีการจัดทำ และอนุมัตินโยบายความมั่นคงปลอดภัยสารสนเทศ โดยคำนึงถึงข้อกำหนดการบริการ ข้อกฏหมายและระเบียบข้อบังคับที่เกี่ยวข้อง รวมถึงข้อบังคับตามสัญญาที่จัดทำไว้ โดยผู้บริหาร จะต้อง

1. สื่อสารนโยบายความมั่นคงปลอดภัยสารสนเทศ และความสำคัญของการปฏิบัติตามนโยบายดังกล่าวไปยังบุคลากรต่าง ๆ ทั้งของผู้ให้บริการ ลูกค้า และผู้ส่งมอบได้รับทราบ

2. ดูแลให้มั่นใจว่าได้มีการจัดทำวัตถุประสงค์การบริหารความมั่นคงปลอดภับสารสนเทศ

3. กำหนดแนวทางในการจัดการกับความเสี่ยงด้านความมั่นคงปลอดภัยสารสนเทศ และเกณฑ์การยอมรับความเสี่ยง

4. ดูแลให้มีการดำเนินการประเมินความเสี่ยงตามช่วงเวลาที่ได้กำหนดไว้

5. ดูแลให้มีการดำเนินการตรวจประเมินภายใน (Internal Audit) เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ

6. ดูแลให้มีการทบทวนผลของการตรวจประเมิน เพื่อระบุถึงโอกาสในการปรับปรุงต่อไป

-  มาตรการควบคุม
     ผู้ให้บริการ จะต้องมีการดำเนินมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศทั้งทางกายภาพ (Physical) ทางธุรการ (Administrative) และทางเทคนิค (Technical) โดยการ

1. รักษาความปลอดภัย ความถูกต้อง และความสามารถในการเข้าถึงได้ของทรัพย์สินสารสนเทศ (Information Assets)

2. ตอบสนองต่อข้อกำหนดของนโยบายความมั่นคงปลอดภัยสารสนเทศ

3. บรรลุวัตถุประสงค์การบริหารความมั่นคงปลอดภัยสารสนเทศ

4. จัดการกับความเสี่ยงที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศ

     ทั้งนี้ จะต้องมีการจัดทำเอกสารมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศ และอธิบายถึงความเสี่ยงที่เกี่ยวกับมาตรการควบคุม รวมถึงการปฏิบัติการ และการบำรุงรักษาไว้อย่างชัดเจน รวมถึงจะต้องมีการทบทวนถึงความมีประสิทธิผลของมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศด้วย 

     ผู้ให้บริการจะต้องระบุถึงองค์กรภายนอกที่จำเป็นที่จะต้องเข้าถึง ใช้งาน หรือจัดการกับสารสนเทศหรือบริการของผู้ให้บริการ โดยผู้ให้บริการจะต้องมีการจัดทำเอกสาร จัดทำข้อตกลง และนำมาตรการควบคุมความมั่นคงปลอดภัยสารสนเทศไปใช้กับองค์กรภายนอกเหล่านั้นด้วย 

- การเปลี่ยนแปลง 

     การร้องขอสำหรับการเปลี่ยนแปลง จะต้องได้รับการประเมิน เพื่อระบุถึงความเสี่ยงใหม่ ๆ หรือที่มีการเปลี่ยนแปลงของความมั่นคงปลอดภัยสารสนเทศ และผลกระทบที่อาจจะเกิดขึ้นต่อนโยบายความมั่นคงปลอดภัยสารสนเทศ และมาตรการควบคุมที่ดำเนินการอยู่

     ผู้ให้บริการ จะต้องมีการจัดการกับ Incident ที่เกี่ยวกับความมั่นคงปลอดภัยสารสนเทศด้วย โดยการใช้ขั้นตอนการปฏิบัติงานของการจัดการ Incidents ตามลำดับความสำคัญที่สอดคล้องกับความเสี่ยงความมั่นคงปลอดภัยสารสนเทศ ทั้งนี้ ผู้ให้บริการจะต้องทำการวิเคราะห์ถึงประเภท ปริมาณ และผลกระทบของ Incident ด้านความมั่นคงปลอดภัยสารสนเทศ รวมถึงจะต้องมีการรายงาน และทบทวนเพื่อระบุถึงโอกาสในการปรับปรุงต่อไป

 

4. กระบวนการสร้างความสัมพันธ์ (Relationship Processes) 

     กระบวนการสร้างความสัมพันธ์ จะประกอบด้วยกระบวนการ 2 กระบวนการ ได้แก่ การบริหารความสัมพันธ์ทางธุรกิจ (Business Relationship Management) และการบริหารผู้ส่งมอบ (Supplier Management) 

     4.1 การบริหารความสัมพันธ์ทางธุรกิจ (Business Relationship Management)
     ผู้ให้บริการจะต้องมีการระบุและจัดทำเป็นเอกสารเกี่ยวกับลูกค้า ผู้ใช้งาน และหน่วยงานต่าง ๆ ที่เกี่ยวข้องกับการบริการ โดยผู้ให้บริการจะต้องมีการกำหนดบุคคลที่รับผิดชอบในการบริหารความสัมพันธ์กับลูกค้า และสร้างความพึงพอใจให้กับลูกค้า สำหรับลูกค้าในแต่ละราย

     ผู้ให้บริการจะต้องมีการจัดทำกลไกสำหรับการสื่อสารกับลูกค้า โดยกลไกการสื่อสารนี้จะต้องสร้างให้เกิดความเข้าใจถึงสภาพแวดล้อมทางธุรกิจที่มีการให้บริการ และข้อกำหนดสำหรับการบริการใหม่หรือที่มีการเปลี่ยนแปลง โดยสารสนเทศเหล่านี้ จะต้องช่วยผู้ให้บริการในการตอบสนองต่อข้อกำหนดต่าง ๆ เหล่านี้ได้อย่างมีประสิทธิผล รวมถึงผู้ให้บริการจะต้องมีการทบทวนถึงสมรรถนะของการบริการตามช่วงเวลาที่ได้วางแผนไว้ร่วมกับลูกค้า

     ทั้งนี้ การเปลี่ยนแปลงที่เกิดขึ้นกับข้อกำหนดของการบริการ จะต้องได้รับการควบคุมโดยกระบวนการจัดการการเปลี่ยนแปลง (Change Management Process) ส่วนการเปลี่ยนแปลงที่เกิดขึ้นกับข้อตกลงระดับการบริการ (Service Level Agreement) จะต้องมีการประสานงานกับกระบวนการบริหารระดับการให้บริการ (Service Level Management Process) ด้วย

 
     นอกจากนั้น จะต้องมีการตกลงร่วมกันกับลูกค้า ถึงลักษณะของข้อร้องเรียนของการบริการ โดยจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานสำหรับการจัดการกับข้อร้องเรียนของการบริการที่เกิดจากลูกค้าไว้ด้วย ทั้งนี้ ผู้ให้บริการจะต้องมีการบันทึก วินิจฉัย ดำเนินการ รายงาน และยุติข้อร้องเรียนของการบริการ ในกรณีที่ข้อร้องเรียนไม่สามารถแก้ไขได้ผ่านช่องทางปกติ จะต้องมีการแจ้งให้กับลูกค้าได้ทราบด้วย

     ผู้ให้บริการจะต้องมีการวัดความพึงพอใจของลูกค้าตามช่วงเวลาที่ได้วางแผนไว้จากการสุ่มตัวอย่างที่เป็นตัวแทนของลูกค้าและผู้ใช้งาน โดยผลลัพธ์ที่ได้จะต้องมีการวิเคราะห์ และทบทวน เพื่อระบุถึงโอกาสในการปรับปรุงการบริการต่อไป   

     4.2 การบริหารผู้ส่งมอบ (Supplier Management) 

     ผู้ให้บริการอาจมีการใช้ผู้ส่งมอบ (Supplier) เพื่อช่วยดำเนินการในบางส่วนของกระบวนการบริหารการบริการ ในรูปที่ 3 จะแสดงถึงตัวอย่างของความสัมพันธ์ของผู้ส่งมอบในห่วงโซ่อุปทาน

 

รูปที่ 3 แสดงถึงตัวอย่างของความสัมพันธ์ในห่วงโซ่อุปทาน

 

     ทั้งนี้ ผู้ให้บริการจะต้องมีการกำหนดบุคลากรที่รับผิดชอบในการจัดการความสัมพันธ์กับผู้ส่งมอบแต่ละราย รวมถึงการทำข้อสัญญา และผลการดำเนินการของผู้ส่งมอบ โดยผู้ให้บริการและผู้ส่งมอบ จะต้องมีการจัดทำข้อตกลงไว้เป็นเอกสารอย่างชัดเจน ประกอบด้วย
1. ขอบเขตของการบริการที่ดำเนินการโดยผู้ส่งมอบ

2. ความเกี่ยวข้องกันระหว่างการบริการ กระบวนการ และหน่วยงานต่าง ๆ

3. ข้อกำหนดที่จะต้องดำเนินการโดยผู้ส่งมอบ

4. เป้าหมายการบริการ

5. ปฏิสัมพันธ์ระหว่างกระบวนการบริหารการบริการที่ดำเนินการโดยผู้ส่งมอบและหน่วยงานอื่น ๆ

6. การบูรณาการของกิจกรรมของผู้ส่งมอบกับระบบบริหารการบริการ 

7. คุณลักษณะของภาระงาน (Workload Characteristics)

8. ข้อยกเว้นจากข้อตกลงในสัญญา และแนวทางในการดำเนินการ

9. อำนาจหน้าที่และความรับผิดชอบของผู้ให้บริการและผู้ส่งมอบ

10. การรายงานและการสื่อสารที่จะเกิดขึ้นโดยผู้ส่งมอบ

11. การเรียกเก็บค่าใช้จ่าย (Basis for Charging)

12. กิจกรรมและความรับผิดชอบสำหรับการยกเลิกสัญญาตามที่คาดหมายไว้ หรือแต่เนิ่น ๆ รวมถึงการส่งมอบการบริการให้กับหน่วยงานอื่น

     ผู้ให้บริการจะต้องมีการตกลงกับผู้ส่งมอบถึงระดับของการบริการ ในการสนับสนุนและสอดคล้องกันกับข้อตกลงระดับการให้บริการ (Service Level Agreement: SLA) ที่จัดทำขึ้นระหว่างผู้ให้บริการและลูกค้า รวมถึงผู้ให้บริการจะต้องมีการจัดทำเอกสารที่แสดงถึงบทบาท และความสัมพันธ์ระหว่างผู้ส่งมอบหลัก (Lead Suppliers) และผู้ส่งมอบในลำดับถัดไป (Sub-contracted Suppliers) ด้วย โดยผู้ให้บริการจะต้องมีการทวนสอบถึงการดำเนินการของผู้ส่งมอบหลักในการจัดการกับผู้ส่งมอบในลำดับถัดไป เพื่อให้สอดคล้องกับข้อบังคับตามข้อสัญญา

     นอกจากนั้น ผู้ให้บริการจะต้องมีการเฝ้าติตตามผลการดำเนินการของผู้ส่งมอบตามช่วงเวลาที่ได้วางแผนไว้ โดยผลการดำเนินการดังกล่าวจะต้องถูกวัดเทียบกับเป้าหมายการบริการที่ได้ตั้งไว้ และข้อบังคับตามสัญญาที่กำหนด ซึ่งผลลัพธ์ที่ได้จะต้องมีการบันทึก และนำมาทบทวนเพื่อระบุถึงสาเหตุของการความไม่สอดคล้องตามข้อกำหนด และโอกาสในการปรับปรุงต่อไป

     ทั้งนี้ การเปลี่ยนแปลงของข้อตกลงในสัญญา จะต้องได้รับการควบคุมโดยกระบวนการจัดการการเปลี่ยนแปลง (Change Management Process) รวมถึงจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการจัดการข้อขัดแย้งตามสัญญาระหว่างผู้ให้บริการ และผู้ส่งมอบด้วย

5. กระบวนการแก้ไขปัญหา (Resolution Processes)
     ในกลุ่มของกระบวนการแก้ไขปัญหา จะประกอบด้วยกระบวนการต่าง ๆ ได้แก่ การจัดการ Incident และการร้องขอการบริการ (Incident and Service Request Management) และการจัดการปัญหา (Problem Management)

     5.1 การจัดการ Incident และการร้องขอการบริการ (Incident and Service Request Management)
     Incident (อุบัติการณ์) จะหมายถึงหยุดการบริการโดยไม่มีการวางแผนไว้ หรือการลดลงของคุณภาพการบริการ หรือเหตุการณ์ที่อาจจะยังไม่ส่งผลกระทบต่อการบริการให้กับลูกค้า โดยผู้ให้บริการจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานสำหรับ Incident ทั้งหมด โดยระบุถึง
1. การบันทึก (Recording)

2. การพิจารณาลำดับความสำคัญ (Allocation of Priority)

3. การจัดประเภท (Classification)

4. การปรับปรุงบันทึก (Updating of Records)

5. การนำเสนอ (Escalation)

6. การแก้ไข (Resolution)

7. การยุติการดำเนินการ (Closure)

     ผู้ให้บริการ จะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการจัดการความสมบูรณ์ของการร้องขอการบริการ (Service Request) ตั้งแต่การบันทึก ไปจนถึงเสร็จสิ้นการดำเนินการ โดย Incident และการร้องขอการบริการที่เกิดขึ้นจะต้องได้รับการจัดการตามขั้นตอนการปฏิบัติงาน

     ผู้ให้บริการจะต้องดูแลให้มั่นใจว่าบุคลากรที่เกี่ยวข้องกับการจัดการ Incident หรือการร้องขอการบริการ สามารถเข้าถึงข้อมูลสารสนเทศที่เกี่ยวข้อง รวมถึงสามารถนำมาใช้งานได้ โดยสารสนเทศที่เกี่ยวข้องจะประกอบด้วยขั้นตอนการปฏิบัติงานในการจัดการกับการร้องขอการบริการ ความผิดพลาดที่รู้แล้ว (Known Errors) การแก้ไขปัญหา และ CMDB ทั้งนี้ สารสนเทศที่เกี่ยวกับความสำเร็จหรือความล้มเหลวของการส่งมอบ (Release) จากกระบวนการจัดการส่งมอบ (Release) และถ่ายทอด (Deployment) จะต้องถูกนำมาใช้ในกระบวนการจัดการ Incident และการร้องขอการบริการด้วย

     ผู้ให้บริการจะต้องมีการแจ้งให้ลูกค้าทราบถึงความก้าวหน้าของ Incident หรือการร้องขอการบริการ ในกรณีที่ไม่สามารถดำเนินการได้ตามเป้าหมายของการบริการ จะต้องมีการแจ้งให้ลูกค้าและหน่วยงานที่เกี่ยวข้องได้ทราบ และมีการนำเสนอตามขั้นตอนการปฏิบัติงานต่อไป 

     นอกจากนั้น ผู้ให้บริการจะต้องมีการจัดทำเอกสาร และตกลงกับลูกค้าถึงคำจำกัดความของคำว่า Major Incident โดย Major Incident จะต้องถูกจัดประเภท และได้รับการจัดการสอดคล้องตามเอกสารขั้นตอนการปฏิบัติงาน ทั้งนี้ ผู้บริหารระดับสูงจะต้องได้รับแจ้งให้ทราบถึง Major Incident ที่เกิดขึ้น และจะต้องดูแลให้มีการกำหนด และมอบหมายบุคลากรสำหรับการจัดการ Major Incident ไว้อย่างชัดเจน ทั้งนี้ ภายหลังจากที่การบริการที่ได้ตกลงไว้ได้รับการจัดการให้กลับสู่สภาพเดิมแล้ว (Restore) จะต้องมีการทบทวน Major Incident เพื่อระบุถึงโอกาสสำหรับการปรับปรุงต่อไป 

     5.2 การจัดการปัญหา (Problem Management)
     ผู้ให้บริการจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการระบุถึงปัญหา และการลด หรือหลีกเลี่ยงผลกระทบของ Incident และปัญหาที่เกิดขึ้น โดยขั้นตอนการปฏิบัติงานสำหรับการจัดการปัญหา จะต้องระบุถึง
1. การชี้บ่ง (Identification)

2. การบันทึก (Recording)

3. การพิจารณาลำดับความสำคัญ (Allocation of Priority)

4. การจัดประเภท (Classification)

5. การปรับปรุงบันทึก (Updating of Records)

6. การนำเสนอ (Escalation)

7. การแก้ไข (Resolution)

8. การยุติการดำเนินการ (Closure)

     ผู้ให้บริการจะต้องมีการดำเนินการแก้ไขปัญหาตามขั้นตอนการปฏิบัติงานที่ได้จัดทำขึ้น โดยจะต้องมีการวิเคราะห์ข้อมูลและแนวโน้มของ Incidents และปัญหา เพื่อระบุถึงสาเหตุหลักและการปฏิบัติการป้องกัน (Preventive Action) ที่อาจจะเกิดขึ้น ทั้งนี้ การแก้ไขปัญหาที่จะต้องมีการเปลี่ยนแปลงรายการขององค์ประกอบของระบบ (Configuration Items) จะต้องได้รับการแก้ไขผ่านการร้องขอเพื่อการเปลี่ยนแปลง (Request for Change) ด้วย

     เมื่อได้ทำการระบุถึงสาเหตุหลักแล้ว แต่ปัญหาไม่สามารถแก้ไขได้อย่างถาวร ผู้ให้บริการจะต้องระบุถึงการปฏิบัติการ เพื่อลดหรือขจัดผลกระทบของปัญหาของการบริการ ทั้งนี้ ความผิดพลาดที่รู้แล้ว (Known Error) จะต้องได้รับการบันทึกไว้ด้วย รวมถึงจะต้องมีการเฝ้าติดตาม ทบทวน และรายงานถึงความมีประสิทธิผลของการแก้ไขปัญหาด้วย

6. กระบวนการควบคุม (Control Processes)
     ในกลุ่มของกระบวนการควบคุม จะประกอบด้วยกระบวนการต่าง ๆ ประกอบด้วย  การบริหารองค์ประกอบของการระบบ (Configuration Management) การบริหารการเปลี่ยนแปลง (Change Management) และการจัดการส่งมอบและการถ่ายทอด (Release and Deployment Management)

     6.1 การบริหารองค์ประกอบของการระบบ (Configuration Management)
     องค์ประกอบของระบบ หรือ Configuration Items (CI) จะหมายถึงองค์ประกอบต่าง ๆ (Element) ที่จำเป็นที่จะต้องได้รับการควบคุม เพื่อใช้ในการส่งมอบการบริการโดยผู้ให้บริการจะต้องมีการจัดทำเอกสารที่อธิบายถึงประเภทต่างๆ ของ CI ประกอบด้วย
1. คำอธิบายเกี่ยวกับ CI

2. ความสัมพันธ์ระหว่าง CI กับ CI อื่น ๆ

3. ความสัมพันธ์ระหว่าง CI กับองค์ประกอบต่าง ๆ ของการบริการ

4. สถานะ

5. รุ่น (Version)

6. สถานที่ (Location)

7. การร้องขอเพื่อการเปลี่ยนแปลงที่เกี่ยวข้อง

8. ปัญหาและความผิดพลาดที่รู้แล้วที่เกี่ยวข้อง

     ทั้งนี้จะต้องมีการชี้บ่งเฉพาะสำหรับแต่ละ CI และมีการบันทึกไว้ใน CMDB โดย CMDB จะเป็นระบบการจัดเก็บข้อมูลที่นำมาใช้ในการบันทึกคุณลักษณะของ CI และความสัมพันธ์ระหว่าง CI ตลอดทั้งวงจรชีวิตของ CI ทั้งนี้ระบบดังกล่าว จะต้องได้รับการจัดการเพื่อให้เกิดความไว้วางใจได้ (Reliability) และความเที่ยงตรง (Accuracy) รวมถึงการควบคุมการเข้าถึงที่ทันสมัย (Update Access)

     นอกจากนั้น ผู้ให้บริการจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานสำหรับการบันทึก การควบคุม และการติดตามรุ่น (Version) ของ CI โดยระดับของการควบคุมเพื่อรักษาความถูกต้องของการบริการ และองค์ประกอบของการบริการ (Service Components) จะต้องคำนึงถึงข้อกำหนดการบริการ และความเสี่ยงที่เกี่ยวข้องกับ CI ด้วย

     ผู้ให้บริการจะต้องทำการตรวจประเมินบันทึกที่จัดเก็บไว้ใน CMDB ตามช่วงเวลาที่ได้วางแผนไว้ ในกรณีที่พบความไม่มีประสิทธิภาพเกิดขึ้น ผู้ให้บริการจะต้องดำเนินการ และจัดทำรายงานการดำเนินการนั้นด้วย ทั้งนี้ข้อมูลสารสนเทศต่าง ๆ ใน CMDB จะเตรียมไว้สำหรับกระบวนการจัดการการเปลี่ยนแปลง รวมถึงเพื่อสนับสนุนต่อการประเมินการร้องขอเพื่อการเปลี่ยนแปลงด้วย

     การเปลี่ยนแปลงของ CI จะต้องสามารถสอบกลับ และตรวจประเมินได้ เพื่อให้มั่นใจได้ถึงความถูกต้องของ CI และข้อมูลสารสนเทศที่อยู่ใน CMDB นอกจากนั้น ข้อมูลฐานขององค์ประกอบระบบ (Configuration Baseline) ของ CI ที่ได้รับผลกระทบ จะต้องได้รับการดำเนินการ ก่อนที่จะมีการนำออกไปใช้งานในสภาพการใช้งานจริง (Live Environment) ด้วย

     ในส่วนของสำเนาหลัก (Master Copy) ของบันทึก CI ใน CMDB จะต้องได้รับการจัดเก็บในสถานที่ที่ปลอดภัย หรือในสื่ออิเลคทรอนิคส์ที่มีความปลอดภัย ซึ่งอ้างอิงไว้ในบันทึกองค์ประกอบของระบบ (Configuration Records) โดยอย่างน้อยจะต้องประกอบด้วย เอกสาร ข้อมูลการอนุญาต (License Information) ซอฟท์แวร์ รวมถึงถ้าเป็นไปได้ควรแสดงถึงรูปภาพขององค์ประกอบของระบบที่เป็นฮาร์ดแวร์

     6.2 การจัดการการเปลี่ยนแปลง (Change Management) 

     ผู้ให้บริการจะต้องมีการจัดทำนโยบายการจัดการการเปลี่ยนแปลงที่ระบุถึง
1. รายการขององค์ประกอบของระบบ (Configuration Item) ที่อยู่ภายใต้การควบคุมของการจัดการการเปลี่ยนแปลง

2. เกณฑ์ที่ใช้ในการพิจารณาการเปลี่ยนแปลงที่มีโอกาสที่จะส่งผลกระทบที่สำคัญต่อการบริการหรือต่อลูกค้า

     ทั้งนี้ การยกเลิกการบริการ จัดเป็นลักษณะหนึ่งของการเปลี่ยนแปลงการบริการที่อาจจะส่งผลกระทบที่สำคัญได้ รวมถึงการย้ายการบริการจากผู้ให้บริการไปยังลูกค้าหรือหน่วยงานอื่น ก็จะจัดการเปลี่ยนแปลงการบริการลักษณะหนึ่งที่อาจจะส่งผลกระทบที่สำคัญด้วยเช่นเดียวกัน

     ทั้งนี้ ผู้ให้บริการจะต้องมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการบันทึก จัดประเภท ประเมิน และอนุมัติการร้องขอเพื่อการเปลี่ยนแปลง โดยจะต้องมีการจัดทำเอกสาร และตกลงกับลูกค้าถึงความหมายของคำว่า การเปลี่ยนแปลงฉุกเฉิน (Emergency Change) และมีการจัดทำเอกสารขั้นตอนการปฏิบัติงานในการจัดการกับการเปลี่ยนแปลงฉุกเฉินด้วย

     การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นกับการบริการหรือองค์ประกอบของการบริการ จะต้องมีการร้องขอเพื่อการเปลี่ยนแปลง (Request for Change) โดยการร้องขอเพื่อการเปลี่ยนแปลงจะต้องมีการระบุถึงขอบเขต รวมถึงมีการบันทึกและจัดประเภทไว้อย่างชัดเจนด้วย ทั้งนี้ การร้องขอเพื่อการเปลี่ยนแปลงที่พิจารณาแล้วว่าอาจจะมีผลกระทบที่สำคัญต่อการบริการหรือต่อลูกค้า จะต้องได้รับการจัดการโดยการใช้การออกแบบ และการส่งผ่าน กระบวนการบริการใหม่หรือที่มีการเปลี่ยนแปลง ส่วนการร้องขอเพื่อการเปลี่ยนแปลงอื่น ๆ ที่มีผลกระทบต่อรายการองค์ประกอบของระบบ (Configuration Items) จะต้องได้รับการจัดการโดยการใช้กระบวนการบริการการเปลี่ยนแปลง

     การร้องขอเพื่อการเปลี่ยนแปลง จะต้องได้รับการประเมินโดยการใช้สารสนเทศต่าง ๆ ที่ได้มาจากกระบวนการบริหารการเปลี่ยนแปลง และกระบวนการอื่น ๆ ทั้งนี้ ผู้ให้บริการและหน่วยงานต่าง ๆ ที่เกี่ยวข้อง จะต้องพิจารณาการยอมรับหรือปฏิเสธต่อการร้องขอเพื่อการเปลี่ยนแปลง โดยคำนึงถึงความเสี่ยง ผลกระทบที่อาจจะเกิดขึ้นต่อการบริการและลูกค้า ข้อกำหนดการบริการ ประโยชน์ทางธุรกิจ ความเป็นไปได้ทางเทคนิคและผลกระทบทางการเงิน ซึ่งการเปลี่ยนแปลงที่ได้รับการเห็นชอบ จะถูกนำไปพัฒนาและทดสอบต่อไป 

     ผู้ให้บริการ จะต้องมีการจัดทำตารางเวลาของการเปลี่ยนแปลง (Schedule of Change) ที่ระบุรายละเอียดของการเปลี่ยนแปลงที่ได้รับการอนุมัติ และวันที่ของการนำไปใช้ตามที่ได้เสนอไว้ โดยจะต้องมีการสื่อสารไปยังหน่วยงานต่าง ๆ ที่เกี่ยวข้อง ซึ่งตารางเวลาของการเปลี่ยนแปลงนี้ จะถูกนำมาใช้สำหรับการวางแผนการถ่ายทอด (Deployment) ของการส่งมอบ (Release) ด้วย 

     ผู้ให้บริการจะต้องมีการวางแผน และทดสอบถึงกิจกรรมที่จำเป็นสำหรับการย้อนกลับ (Reverse) หรือการแก้ไข (Remedy) การเปลี่ยนแปลงที่ไม่ประสบความสำเร็จด้วย โดยการเปลี่ยนแปลงที่ไม่ประสบความสำเร็จ จะต้องได้รับการวินิจฉัยและดำเนินการอย่างเหมาะสม

     ทั้งนี้ บันทึกของ CMDB จะต้องได้รับการปรับปรุงให้ทันสมัยตามความสำเร็จของการเปลี่ยนแปลงที่เกิดขึ้น รวมถึงผู้ให้บริการจะต้องมีการทบทวนถึงความมีประสิทธิผลของการเปลี่ยนแปลง และดำเนินการตามที่ได้ตกลงไว้กับหน่วยงานต่าง ๆ ที่เกี่ยวข้องด้วย 

     นอกจากนั้น การร้องขอเพื่อการเปลี่ยนแปลงจะต้องได้รับการวิเคราะห์ตามช่วงเวลาที่ได้วางแผนไว้เพื่อตรวจจับแนวโน้มที่จะเกิดขึ้น โดยผลลัพธ์และข้อสรุปที่ได้จากการวิเคราะห์จะต้องมีการบันทึกและนำมาทบทวน เพื่อระบุถึงโอกาสในการปรับปรุงต่อไป

     6.3 การจัดการส่งมอบและการถ่ายทอด (Release and Deployment Management)

     การส่งมอบการบริการ หรือ Service Release จะหมายถึง การรวบรวมรายการขององค์ประกอบของการบริการ (Configuration Items) เพื่อนำไปใช้ในสภาพแวดล้อมของการใช้งานจริง (Live Environment) จากผลลัพธ์ของการเปลี่ยนแปลงที่เกิดขึ้น โดยผู้ให้บริการจะต้องมีการจัดทำและตกลงกับลูกค้าเกี่ยวกับนโยบายของการส่งมอบการบริการที่ระบุถึงความถี่และประเภทของการส่งมอบ

     นอกจากนั้น ผู้ให้บริการจะต้องมีการวางแผนกับลูกค้า และหน่วยงานที่เกี่ยวข้องถึงการถ่ายทอด (Deployment) การบริการใหม่หรือการบริการที่มีการเปลี่ยนแปลง รวมถึงองค์ประกอบของการบริการออกสู่สภาพแวดล้อมของการใช้งานจริง (Live Environment) โดยการวางแผนจะต้องมีการประสานงานกันกับกระบวนการจัดการการเปลี่ยนแปลง (Change Management Process) รวมถึงการอ้างอิงไปยังการร้องขอสำหรับการเปลี่ยนแปลง ความผิดพลาดที่รับรู้ (Known Errors) และปัญหาต่าง ๆ ที่กำลังเสร็จสิ้นเมื่อทำการ ส่งมอบ นอกจากนั้น การวางแผนจะต้องระบุถึงวันที่สำหรับการถ่ายทอดของแต่ละการส่งมอบ และวิธีการที่ใช้ในการถ่ายทอด

     ผู้ให้บริการจะต้องจัดทำเอกสาร และตกลงกับลูกค้าถึงคำอธิบายเกี่ยวกับการส่งมอบฉุกเฉิน (Emergency Release) โดยการส่งมอบฉุกเฉินจะต้องได้รับการจัดการให้สอดคล้องกันกับเอกสารขั้นตอนการปฏิบัติงานที่เชื่อมโยงกันกับขั้นตอนการปฏิบัติงานสำหรับการเปลี่ยนแปลงฉุกเฉิน (Emergency Change) ด้วย 

     ผู้ให้บริการ จะต้องมีการจัดทำการส่งมอบ (Release) และทำการทดสอบก่อนที่จะมีการถ่ายทอด (Deployment) ซึ่งสภาพแวดล้อมที่ใช้ในการทดสอบเพื่อการยอมรับที่ได้รับการควบคุม (Controlled Acceptance Test Environment) จะถูกนำมาใช้สำหรับการจัดทำ (Build) และการทดสอบ (Test) การส่งมอบโดยเกณฑ์การยอมรับสำหรับการส่งมอบ จะต้องได้รับการเห็นชอบร่วมกับลูกค้า และหน่วยงานต่าง ๆ ที่เกี่ยวข้อง โดยการส่งมอบ จะต้องได้รับการทวนสอบเทียบกับเกณฑ์การยอมรับที่ได้ตกลงกันไว้ และได้รับการอนุมัติก่อนการถ่ายทอดออกไป

     การส่งมอบ จะต้องมีการถ่ายทอดไปยังสภาพแวดล้อมของการใช้งานจริง (Live Environment) ที่มีการดูแลรักษาความถูกต้อง สมบูรณ์ของฮาร์ดแวร์ ซอฟต์แวร์ และองค์ประกอบของการบริการ (Service Components)

     นอกจากนั้น จะต้องมีการวางแผน และทดสอบการดำเนินการที่จำเป็นสำหรับการย้อนกลับ หรือแก้ไขการถ่ายทอดของส่งมอบที่ไม่ประสบความสำเร็จ ทั้งนี้ การส่งมอบที่ไม่ประสบความสำเร็จ จะต้องได้รับการวินิจฉัยและดำเนินการอย่างเหมาะสมด้วย 

     ผู้ให้บริการ จะต้องมีการเฝ้าติดตามและวิเคราะห์ถึงความสำเร็จหรือความล้มเหลวของการส่งมอบการบริการ โดยการวัดจะประกอบด้วย Incident ที่เกี่ยวกับการส่งมอบในช่วงเวลาของการถ่ายทอดการส่งมอบนั้น ๆ ส่วนการวิเคราะห์จะรวมถึงการประเมินผลกระทบของการส่งมอบการบริการที่มีต่อลูกค้า โดยจะต้องมีการบันทึก และทบทวนผลลัพธ์และข้อสรุปที่ได้จากการวิเคราะห์ เพื่อระบุถึงโอกาสสำหรับการปรับปรุงต่อไป

     ทั้งนี้ ข้อมูลสารสนเทศต่าง ๆ ที่เกี่ยวกับความสำเร็จและความล้มเหลวของการส่งมอบ จะถูกนำมาใช้ในกระบวนการจัดการการเปลี่ยแปลง (Change Management Process) และกระบวนการจัดการ Incident และการร้องขอการบริการ (Service Request) ต่อไป

 

บทสรุป 

     จากที่ได้อธิบายมาทั้งหมดจะเป็นองค์ประกอบต่าง ๆ ของการบริหารการบริการตามมาตรฐาน ISO/IEC 20000-2011 ที่รวมเข้าด้วยกัน เพื่อให้เกิดความมั่นใจได้ว่าผู้ให้บริการ จะสามารถส่งมอบการบริการที่มีตรงตามความต้องการของลูกค้า และเป็นไปอย่างมีประสิทธิภาพ และประสิทธิผล นอกจากนั้น ยังใช้เป็นแนวทางสำหรับการขอการรับรองมาตรฐานดังกล่าวโดยหน่วยงานที่ให้การรับรอง เพื่อให้เกิดการยอมรับ และเชื่อมั่นในการให้บริการ และเป็นพื้นฐานที่สำคัญสำหรับการพัฒนาการให้บริการทางด้านเทคโนโลยีสารสนเทศต่อไป